Kiat teratas untuk menciptakan budaya keamanan (Petunjuk: bukan pelatihan lagi)

Kiat teratas untuk menciptakan budaya keamanan (Petunjuk: bukan pelatihan lagi)

gembok keamanan

Perusahaan yang menginvestasikan banyak waktu dan uang di gateway email yang aman masih melihat pesan penipuan yang dikirim ke kotak masuk pengguna mereka tidak terdeteksi. Faktanya, serangan phishing adalah asal dari sebagian besar pelanggaran saat ini.

Oleh karena itu, banyak organisasi telah beralih ke program kesadaran keamanan pengguna; melatih staf untuk mengenali dan menghindari ancaman yang masuk ke kotak masuk mereka. Lalu, mengapa, terlepas dari upaya ini, jumlah pelanggaran yang berasal dari serangan phishing meningkat setiap tahun sejak 2017?

Adopsi Pelatihan Kesadaran Keamanan (SAT) dipercepat sebagai latihan kotak centang tahunan yang ditentukan oleh persyaratan kepatuhan dan penerbit asuransi keamanan siber. Sejak itu menjadi pedoman de facto bagi organisasi mana pun yang berjuang untuk mencegah serangan rekayasa sosial lain yang berhasil seperti kompromi email bisnis. Ini juga telah menjadi alat utama dalam kit Budaya Keamanan.

Perusahaan harus berusaha keras untuk menciptakan budaya yang menghasilkan perilaku keamanan yang baik sebagai bagian dari hari kerja karyawan. Pelatihan pengguna sangat penting untuk memastikan mereka memahami kebijakan organisasi dan harapan yang sesuai dari anggota mereka, tetapi itu tidak menciptakan budaya. Menciptakan budaya mengharuskan pengguna dan analis keamanan untuk secara aktif bekerja sebagai tim setiap hari, saling mendukung dan memperkuat harapan dan pelajaran yang didapat dalam pelatihan.

Ada beberapa langkah praktis yang dapat diterapkan oleh organisasi mana pun untuk memungkinkan staf mereka mempertahankan bisnis. Langkah-langkah ini menggabungkan teknologi dan kesadaran pengguna untuk menciptakan perisai pelindung aktif terhadap serangan email asli daripada yang palsu.

Kotak surat yang lebih bersih

Tidak mungkin bagi sistem keamanan siber mana pun untuk mendeteksi semua ancaman, setiap saat, tanpa menekan pengguna dan admin dengan kesalahan positif dan pengiriman email yang tertunda. Namun, dimungkinkan untuk memberi pengguna kotak surat yang berisi lebih sedikit ancaman.

Sebagian besar organisasi bertujuan untuk memblokir email berbahaya di perimeter, ketika jauh lebih efektif untuk menerapkan perburuan ancaman otomatis terus menerus di mana ancaman berada — di kotak surat.

Metode ini telah terbukti tidak hanya untuk menangkap serangan yang terlewatkan oleh gateway email aman dan Microsoft 365, tetapi juga memberikan visibilitas strategis ke dalam risiko spear phishing, ransomware, dan kompromi email bisnis (BEC) yang sebelumnya tidak terdeteksi.

Menerapkan metode ini bersama SAT sangat bermanfaat bagi perusahaan. Dengan menghilangkan tekanan pada karyawan untuk mengurangi setiap ancaman itu sendiri, staf malah memposisikan diri mereka sebagai bagian dari postur keamanan perusahaan yang lebih luas dan lebih strategis.

Menciptakan lingkungan yang positif

SAT sangat penting untuk kepatuhan dengan PCI DSS, HIPAA/HITECH dan SOC2. Selanjutnya, bagian dari pelatihan keamanan melibatkan pengguna yang dirangsang dengan serangan phishing palsu, yang merupakan latihan yang berguna untuk mengidentifikasi serangan nyata. Untuk yang terakhir, banyak organisasi telah menerapkan proses di belakang program SAT mereka bagi pengguna untuk melaporkan pesan mencurigakan ke tim keamanan mereka. Namun, tim keamanan jarang menyelidiki semua peringatan ini dan hampir tidak pernah memberikan umpan balik kepada pengguna pelaporan. Umpan balik sangat penting sehingga pengguna dihargai karena menemukan ancaman nyata atau diberikan pelatihan dunia nyata ketika mereka menghasilkan positif palsu. Lingkaran pelaporan pengguna dan umpan balik analis ini menciptakan lingkungan positif dan momen yang dapat diajarkan yang menumbuhkan budaya keamanan dengan cara yang tidak dapat dilakukan video pelatihan dan kuis.

Faktor kunci lain dalam menciptakan lingkungan yang positif adalah menggunakan alat swalayan bersama dengan isyarat waktu nyata yang diterapkan pada pesan yang mencurigakan. Alat swalayan termasuk add-on untuk klien email yang memungkinkan pengguna untuk meminta dan melihat hasil pemindaian keamanan pesan. Isyarat secara otomatis dihasilkan dalam pesan peringatan ketika model deteksi lanjutan seperti Machine Learning menemukan indikator kompromi email bisnis atau jenis serangan halus lainnya. Ketika digabungkan, ini memungkinkan pengguna untuk menerapkan pelajaran yang didapat dari pelatihan untuk memperkaya deteksi otomatis daripada mengharapkan pengguna untuk menanggung seluruh beban dalam mendeteksi ancaman yang mengelak.

Pemberdayaan vs Pelatihan

Untuk bisnis yang perlu mengembangkan budaya keamanan sibernya, pelatihan kesadaran keamanan hanyalah permulaan. Menciptakan dan memperkuat budaya keamanan membutuhkan pembangunan di atas SAT untuk membekali pengguna untuk berpartisipasi dalam pertahanan aktif terhadap serangan cyber yang nyata.

Memanfaatkan SAT bersama deteksi otomatis menunjukkan kepada karyawan bahwa organisasi mereka memiliki harapan yang realistis dari mereka. Karyawan tidak boleh merasa bahwa nasib pelanggaran berada di pundak mereka tetapi harus merasa diberdayakan untuk memainkan peran penting dalam membela perusahaan mereka secara aktif. Eksekutif bahkan dapat menyediakan alat bagi pengguna untuk memindai sendiri konten yang mencurigakan, memperburuk pendekatan keamanan holistik di seluruh organisasi.

Tanpa pelatihan keamanan yang tepat, bahkan alat terbaik pun dapat dianggap tidak berguna. Ketika dijalankan dengan benar, SAT tidak hanya menempatkan organisasi Anda pada posisi yang lebih baik dari sudut pandang asuransi cyber dan persyaratan peraturan, tetapi juga menciptakan lingkungan di mana karyawan Anda terlibat secara proaktif dalam meminimalkan risiko online untuk membantu meningkatkan postur keamanan Anda.

Mike Fleck adalah Direktur Senior, Teknik Penjualan di Cyren.

Author: Kenneth Henderson